Ransomware gangy využívají malware Skitnet pro nenápadnou krádež dat a vzdálený přístup

6 června, 2025

Několik hackerských skupin stojících za ransomwarem využívá malware s názvem Skitnet jako součást svých post-exploitačních aktivit k odcizení citlivých dat a navázání vzdálené kontroly nad kompromitovanými zařízeními.

„Skitnet je prodáván na podzemních fórech, jako je RAMP, od dubna 2024,“ uvedla švýcarská kyberbezpečnostní společnost PRODAFT. „Nicméně od začátku roku 2025 jsme zaznamenali, že jej v reálných útocích používá více operátorů ransomwaru.“

„Například v dubnu 2025 skupina Black Basta využila Skitnet v phishingových kampaních zaměřených na podnikové prostředí, které se tvářily jako zprávy z Teams. Díky svým nenápadným funkcím a flexibilní architektuře si Skitnet rychle získává popularitu v ekosystému ransomwaru.“

Skitnet, známý také jako Bossnet, je vícefázový malware vyvinutý útočníkem, kterého společnost PRODAFT sleduje pod označením LARVA-306. Významným rysem tohoto škodlivého nástroje je využití programovacích jazyků jako Rust a Nim k vytvoření reverzní shell komunikace přes DNS a obcházení detekce.

Malware dále obsahuje mechanismy pro udržení přítomnosti v systému, nástroje pro vzdálený přístup, příkazy pro exfiltraci dat a dokonce možnost stáhnout binární soubor .NET loaderu, který může sloužit k doručení dalších škodlivých kódů, což z něj činí velmi univerzální hrozbu.

Poprvé byl Skitnet inzerován 19. dubna 2024 a je nabízen potenciálním zákazníkům jako „kompaktní balíček“ obsahující serverovou komponentu a samotný malware. Prvotní spustitelný soubor je binárka v jazyce Rust, která dešifruje a spustí vložený škodlivý kód zkompilovaný v jazyce Nim.

„Hlavní funkcí této binárky v jazyce Nim je navázání reverzního shell spojení se serverem C2 [command-and-control] prostřednictvím DNS,“ uvedla společnost PRODAFT. „Aby se vyhnul detekci, využívá funkci GetProcAddress k dynamickému zjišťování adres API funkcí místo tradičních importních tabulek.“

Binárka v jazyce Nim dále spouští více vláken, která každých 10 sekund odesílají DNS požadavky, čtou DNS odpovědi a extrahují příkazy k provedení na hostiteli a výsledky provedených příkazů odesílají zpět na server. Příkazy jsou zadávány prostřednictvím C2 panelu, který slouží ke správě infikovaných zařízení.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Bitstamp získává licenci CASP v souladu s MiCA

Bitstamp je kryptoměnová burza, která bezpečně poskytuje přístup k digitálním aktivům více než pěti milionům individuálních i institucionálních uživatelů. Společnost má zavedené robustní bezpečnostní a

Číst dále »

6 června, 2025

Pasqalův kvantový počítač s neutrálními atomy je dostupný přes Google Cloud

Kvantová výpočetní společnost Pasqal spojila síly s Google Cloud, aby zpřístupnila svůj kvantový procesor s neutrálními atomy (QPU) prostřednictvím Google Cloud Marketplace. Zákazníci využívající Google

Číst dále »

6 června, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom